Уязвимость нашли сотрудники команды 360 Vulcan security. Подробности представители китайской cnLedger изложили на Reddit.?ref=share&=1″>
Накануне инженеры 360 Vulcan security обнаружили уязвимости с высокой степенью риска в коде блокчейна EOS. Некоторые из них позволяли дистанционно запускать вредоносный код и таким образом обеспечивали полный контроль над узлами сети.
Наличие бага подтвердил разработчик EOS. По его словам, команда не будет запускать мейннет до решения проблемы. Напомним, старт сети запланирован на 1 июня.
Чем опасны уязвимости в сети криптовалюты
Дырки в традиционном программном обеспечении могут быть использованы для проведения кибератаки, воровства личных данных и влияния на реальную жизнь. Поскольку цифровые валюты представляют из себя набор финансовых систем, взлом сетей крипты может обернуться более серьёзными проблемами.
Хакер может получить власть над сетью и выполнить любое действие, против которого выступает сама суть децентрализации.
Атака на EOS. Подробности
Успех потенциальной атаки обеспечивало использование смарт-контрактов. Злоумышленники могли создать и опубликовать смарт-контракт со встроенным вредоносным кодом. Затем супернода EOS выполняла контракт и таким образом открывала дыру в системе безопасности.
Автор атаки мог повторно использовать суперноду для вставки вредоносного контракта в новый блок, из-за чего со временем он получал дистанционный контроль над всеми полными нодами сети. К последним относятся альтернативные суперузлы, точки перезагрузки, серверные узлы цифровых кошельков и так далее.
После обретения полного контроля над нодами хакер получал практически полную свободу действий. Он мог украсть ключ от суперноды EOS, контролировать проведение транзакций с виртуальными валютами в сети EOS, а также получать конфиденциальные финансовые данные по типу ключей пользователей и личной информации владельца монет.
В результате это могло привести к мини-апокалипсису. К счастью, проблему решили практически мгновенно. Выпуск патча подтверждает Cointelegraph.
В этот раз вроде как обошлось. Надеемся, разработчики ещё раз проверят код на наличие возможных дырок в безопасности. Залатывание их за день до запуска основной сети явно испортит отношение пользователей.
Подписывайтесь на наш канал в Телеграме. У нас нет уязвимостей.
